近日，微軟警告Windows用戶稱，Windows Print Spooler服務(wù)中存在未修補(bǔ)的嚴(yán)重漏洞。

[[409551]]

本以為漏洞已被修復(fù)，意外披露PoC

這個(gè)被稱為“PrintNightmare”的漏洞是在安全研究人員意外發(fā)布概念驗(yàn)證(PoC)漏洞后于本周早些時(shí)候被發(fā)現(xiàn)的。雖然微軟尚未對(duì)該漏洞進(jìn)行CVSS評(píng)分或嚴(yán)重程度分級(jí)，但它允許攻擊者以系統(tǒng)級(jí)權(quán)限遠(yuǎn)程執(zhí)行任意代碼。

早前，可能是與微軟之間的溝通出現(xiàn)了問(wèn)題，導(dǎo)致某網(wǎng)絡(luò)安全公司的研究人員發(fā)布了該漏洞的概念驗(yàn)證代碼(PoC)，錯(cuò)誤地認(rèn)為它已經(jīng)作為CVE-2021-1675的一部分進(jìn)行了修補(bǔ)，結(jié)果意外披露了零日漏洞。盡管該概念驗(yàn)證代碼很快就從Github上撤下，但不幸的是，在此之前該項(xiàng)目就已被復(fù)制。

漏洞發(fā)現(xiàn)幾天后，微軟方面才最終發(fā)布了關(guān)于零日漏洞的警報(bào)。該公司甚至警告用戶PrintNightmare漏洞正在被廣泛利用。由于該漏洞允許攻擊者以系統(tǒng)權(quán)限運(yùn)行任意代碼，因此成功利用該漏洞的不法分子可以安裝程序、處理數(shù)據(jù)或創(chuàng)建具有完全用戶權(quán)限的新賬戶。

微軟還承認(rèn)，PrintNightmare影響所有Windows版本中的Windows Print Spooler，包括安裝在個(gè)人計(jì)算機(jī)、企業(yè)網(wǎng)絡(luò)、Windows服務(wù)器和域控制器上的版本，但尚不清楚它是否可以在Windows以外的服務(wù)器版本上利用。

微軟建議禁用 Windows Print Spooler 服務(wù)

目前，微軟正在開(kāi)發(fā)補(bǔ)丁，但有證據(jù)表明 PoC 漏洞已被使用。企業(yè)和企業(yè)用戶最容易受到攻擊，但一般用戶也可能面臨風(fēng)險(xiǎn)。該公司建議稱，在補(bǔ)丁可用之前可以先禁用 Windows Print Spooler 服務(wù)。

如果停止所有打印不現(xiàn)實(shí)，網(wǎng)絡(luò)管理員可以使用組策略禁用入站遠(yuǎn)程打印，這樣一來(lái)即使是打印服務(wù)器任務(wù)中斷，也至少可以提供本地打印服務(wù)。

但一般用戶需要使用Powershell命令將其關(guān)閉，這將保護(hù)您的 PC 免受任何 PrintNightmare 威脅：

• 使用任務(wù)欄或Windows開(kāi)始菜單搜索“Powershell”;
• 右鍵單擊Powershell并選擇“以管理員身份運(yùn)行”;
• 在Powershell提示符下，運(yùn)行以下命令以禁用Windows Print Spooler：

Stop-Service -Name Spooler -Force 

• 然后運(yùn)行以下命令以防止Windows在啟動(dòng)時(shí)重新啟用 Print Spooler 服務(wù)：

Set-Service -Name Spooler -StartupType Disabled 

等到微軟發(fā)布補(bǔ)丁并完成安全更新后，您可以使用以下兩個(gè)命令在Powershell中重新啟用 Print Spool 服務(wù)：

Set-Service -Name Spooler -StartupType Automatic 

Start-Service -Name Spooler 

除此之外，網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)建議管理員“在域控制器和無(wú)需打印服務(wù)的系統(tǒng)中禁用 Windows Print Spooler 服務(wù)”。

多年來(lái)，Windows Print Spooler 服務(wù)中的漏洞一直是系統(tǒng)管理員頭疼的問(wèn)題。最臭名昭著的例子是震網(wǎng)(Stuxnet)病毒。 十多年前，Stuxnet 使用多個(gè)0-day 漏洞，包括Windows Print Spooler漏洞，摧毀了數(shù)臺(tái)伊朗核離心機(jī)。